為什么需要在邊緣部署零信任

時(shí)間：2022-03-30 12:24:01 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-30 12:24:01 來(lái)源：行業(yè)動(dòng)態(tài)

在這個(gè)用戶、威脅和應(yīng)用程序無(wú)處不在的時(shí)代，所有流量都必須通過(guò)一個(gè)可靠的安全堆棧。但回傳流量會(huì)破壞性能，而且回傳攻擊流量會(huì)造成更大的破壞。那么我們?nèi)绾卧诓贿M(jìn)行回傳的情況下實(shí)現(xiàn)這一目標(biāo)？答案是部署零信任安全并將其作為一項(xiàng)邊緣服務(wù)提供。

在深入研究傳統(tǒng)部署模式時(shí)，我們應(yīng)首先考慮員工訪問(wèn)基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序這一情況。此類應(yīng)用程序可能是工作所需的SaaS應(yīng)用程序，也可能是在工作環(huán)境中使用或者用于個(gè)人活動(dòng)的網(wǎng)絡(luò)應(yīng)用程序。為了確保這些流量的安全，我們需要一個(gè)安全網(wǎng)絡(luò)網(wǎng)關(guān)（SWG）。

SWG可確?？山邮艿氖褂谜叩玫綀?zhí)行，員工不會(huì)意外嘗試訪問(wèn)釣魚(yú)網(wǎng)站，惡意軟件不會(huì)被下載到員工的設(shè)備上等等。SWG是安全堆棧的一個(gè)重要組成部分，而在強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢(shì)下，所有對(duì)基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序的訪問(wèn)都要經(jīng)過(guò)SWG。

問(wèn)題在于在傳統(tǒng)的SWG部署模式中需要進(jìn)行回傳，SWG作為設(shè)備或虛擬設(shè)備部署在一個(gè)或少數(shù)幾個(gè)地點(diǎn)。如果幾乎所有員工都在一個(gè)或少數(shù)幾個(gè)辦公地點(diǎn)工作，那就可以選擇讓這些SWG地點(diǎn)位于這些辦公室內(nèi)或附近，這樣就不需要進(jìn)行回傳。

但由于員工經(jīng)常遠(yuǎn)程工作并且一般通過(guò)遠(yuǎn)程訪問(wèn)VPN，所以流量必須回傳到SWG。這會(huì)破壞性能并帶來(lái)其他擴(kuò)展挑戰(zhàn)。此外，SWG并不是安全堆棧的唯一重要組成部分。在強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢(shì)下，所有流量都必須接受訪問(wèn)控制和檢查，而不僅僅是那些通過(guò)SWG的互聯(lián)網(wǎng)流量。該要求是零信任的一個(gè)基本原則。



回傳流量破壞性能

在零信任安全態(tài)勢(shì)下，所有流量都需要通過(guò)安全堆棧；而在傳統(tǒng)部署模式下，該要求會(huì)迫使回傳流量及其所有相關(guān)問(wèn)題。回傳不但成本高昂并且會(huì)破壞性能，而且當(dāng)其中一些流量被攻擊時(shí)，情況會(huì)變得更糟。

處理攻擊流量是安全堆棧的功能之一。在流量到達(dá)安全堆棧之前，我們不知道哪些流量是攻擊流量?；貍鞴袅髁恐皇墙o了它更多的機(jī)會(huì)與網(wǎng)絡(luò)鏈接和設(shè)備互動(dòng)，而這反過(guò)來(lái)也給了它進(jìn)行破壞的機(jī)會(huì)，例如破壞關(guān)鍵的上游鏈接并使整個(gè)安全堆棧無(wú)法訪問(wèn)。



當(dāng)安全問(wèn)題被部署在邊緣時(shí)的回傳

那么我們應(yīng)該怎么做呢？與其將流量回傳到安全堆棧，不如將安全堆棧部署在流量所在的邊緣。在這種模式下，一個(gè)完整的零信任安全堆棧可以作為一項(xiàng)服務(wù)在邊緣基礎(chǔ)設(shè)施上運(yùn)行。由于安全堆棧位于邊緣，因此它靠近在任何地點(diǎn)工作的用戶/員工，無(wú)論他們是在辦公室、家中還是在路上工作。同樣，它還靠近被部署在任何位置的應(yīng)用程序，無(wú)論它們是在數(shù)據(jù)中心、云端，還是在其他位置。

靠近用戶和應(yīng)用程序的邊緣正是安全堆棧的用武之地這里是流量所在，不需要回傳。此外，安全堆棧還靠近位于邊緣的任何攻擊者，比如被破壞的企業(yè)設(shè)備或蠕蟲(chóng)，因此可以在攻擊流量有機(jī)會(huì)造成任何破壞之前在源頭阻止它。